Theo CloudSEK, hành động này đã tạo điều kiện để duy trì phiên và tạo cookie, cho phép các tác nhân đe dọa duy trì quyền truy cập vào phiên hợp lệ một cách trái phép. Kỹ thuật lạm dụng này lần đầu tiên được tiết lộ bởi một tài khoản có tên PRISMA vào ngày 20/10/2023, trên kênh Telegram của họ. Kể từ đó, nó đã được tích hợp vào nhiều trình đánh cắp thông tin cho các phần mềm độc hại dưới dạng dịch vụ (MaaS) khác nhau, chẳng hạn như Lumma, Rhadamanthys, Stealc, Meduza, RisePro và WhiteSnake.
Điểm cuối xác thực MultiLogin được thiết kế chủ yếu để đồng bộ hóa tài khoản Google trên các dịch vụ khi người dùng đăng nhập vào tài khoản cá nhân trong trình duyệt web Chrome.
Nhà nghiên cứu bảo mật Pavan Karthick M cho biết, kỹ thuật dịch ngược mã Lumma Stealer đã nhắm mục tiêu vào bảng token_service WebData của Chrome để trích xuất mã thông báo và ID tài khoản của các cấu hình Chrome đã đăng nhập. Bảng này chứa hai cột quan trọng là: service (GAIA ID) và encrypted_token. Sau đó, mã thông báo GAIA ID này được kết hợp với điểm cuối MultiLogin để tạo lại cookie xác thực Google.
Karthick nêu ra ba kịch bản tạo mã thông báo cookie khác nhau đã được thử nghiệm:
- Trong trường hợp người dùng đăng nhập bằng trình duyệt, mã thông báo có thể được sử dụng vô số lần.
- Khi người dùng thay đổi mật khẩu nhưng cho phép Google duy trì trạng thái đăng nhập, trong trường hợp này, mã thông báo chỉ có thể được sử dụng một lần vì nó đã được sử dụng để cho phép người dùng duy trì trạng thái đăng nhập.
- Nếu người dùng đăng xuất khỏi trình duyệt thì mã thông báo sẽ bị thu hồi và xóa khỏi bộ nhớ của trình duyệt, mã thông báo này sẽ được tạo lại khi đăng nhập lại.
Karthick cho biết: “Chúng tôi khuyên người dùng nên thay đổi mật khẩu để các tác nhân đe dọa không sử dụng các luồng xác thực đặt lại mật khẩu để khôi phục mật khẩu. Ngoài ra, người dùng nên theo dõi hoạt động tài khoản của mình để phát hiện các phiên đáng ngờ đến từ IP và vị trí mà họ không nhận ra”.
Về phía Google, công ty cũng đã thừa nhận sự tồn tại của phương thức tấn công nhưng lưu ý rằng người dùng có thể thu hồi các phiên bị đánh cắp bằng cách đăng xuất khỏi trình duyệt bị ảnh hưởng.
Google cho biết đã nhận được các báo cáo gần đây về một nhóm phần mềm độc hại đánh cắp mã thông báo phiên và đánh giá các cuộc tấn công đánh cắp cookie và mã thông báo không phải là mới. Google thường xuyên nâng cấp hệ thống phòng thủ của mình chống lại các kỹ thuật như vậy và để bảo vệ những người dùng trở thành nạn nhân của phần mềm độc hại. Trong trường hợp này, Google đã thực hiện các thao tác để bảo mật mọi tài khoản bị xâm phạm được phát hiện. Công ty còn khuyến nghị người dùng bật tính năng Enhanced Safe Browsing hay duyệt web an toàn nâng cao trong Chrome để bảo vệ cũng như tránh tải xuống phần mềm độc hại và lừa đảo.
Bá Phúc
(The Hacker News)
15:00 | 26/10/2023
18:00 | 22/09/2023
14:00 | 17/08/2023
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024